Рекомендация Debian по безопасности

DSA-034-1 ePerl -- удалённая уязвимость суперпользователя

Дата сообщения:
07.03.2001
Затронутые пакеты:
eperl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2464.
В каталоге Mitre CVE: CVE-2001-0458.
Более подробная информация:
Фумитоши Укаи и Дэнис Бабир обнаружили несколько потенциальных переполнений буфера в версии ePerl, поставляемой во всех наших выпусках.

Если eperl установлен с флагом доступа, позволяющим запускать его от лица суперпользователя, он может изменять флаги UID/GID владельца сценариев. Хотя в Debian указанный флаг доступа и не установлен, это является полезной особенностью, которую кто-то может включить локально. Если программы используется в качестве /usr/lib/cgi-bin/nph-eperl, то данная ошибка может использоваться удалённо.

Версия 2.2.14-0.7potato2 исправляет данную ошибку; рекомендуется как можно скорее обновить пакет eperl.

Исправлено в:

Debian 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb